Les mises à jour de sécurité de mai 2026 de Microsoft corrigent 138 vulnérabilités, dont 30 classées comme critiques, 104 importantes, trois modérées et une faible. Un nombre significatif, 61, concerne des bugs d'escalade de privilèges, suivis de 32 failles d'exécution de code à distance. La mise à jour inclut également un correctif pour une vulnérabilité AMD, CVE-2025-54518 (score CVSS : 7.3), concernant une isolation inappropriée des ressources partagées sur les produits basés sur Zen 2. Cela pourrait permettre une escalade de privilèges. Ces correctifs s'ajoutent aux 127 failles de sécurité corrigées par Google dans Chromium, qui sous-tend le navigateur Edge de Microsoft. ### Vulnérabilité DNS critique sous Windows L'une des vulnérabilités les plus graves est CVE-2026-41096 (score CVSS : 9.8), un dépassement de tampon basé sur le tas dans le DNS de Windows. Un attaquant pourrait exploiter cette faille en envoyant une réponse DNS spécialement conçue, entraînant une exécution de code à distance sans authentification. « Un attaquant pourrait exploiter cette vulnérabilité en envoyant une réponse DNS spécialement conçue à un système Windows vulnérable, provoquant un traitement incorrect de la réponse par le client DNS et corrompant la mémoire », a déclaré Microsoft. « Dans certaines configurations, cela pourrait permettre à l'attaquant d'exécuter du code à distance sur le système affecté sans authentification. » ### Autres vulnérabilités notables Microsoft a également corrigé plusieurs autres vulnérabilités critiques et importantes, notamment : * CVE-2026-42826 (score CVSS : 10.0) - Divulgation d'informations dans Azure DevOps. * CVE-2026-33109 (score CVSS : 9.9) - Contrôle d'accès inapproprié dans Azure Managed Instance pour Apache Cassandra. * CVE-2026-42898 (score CVSS : 9.9) - Injection de code dans Microsoft Dynamics 365 (sur site). * CVE-2026-42823 (score CVSS : 9.9) - Contrôle d'accès inapproprié dans Azure Logic Apps. * CVE-2026-41089 (score CVSS : 9.8) - Dépassement de tampon basé sur la pile dans Windows Netlogon. * CVE-2026-33823 (score CVSS : 9.6) - Autorisation inappropriée dans Microsoft Teams. * CVE-2026-35428 (score CVSS : 9.6) - Injection de commande dans Azure Cloud Shell. * CVE-2026-40379 (score CVSS : 9.3) - Exposition d'informations dans Azure Entra ID. * CVE-2026-40402 (score CVSS : 9.3) - Utilisation après libération dans Windows Hyper-V. * CVE-2026-41103 (score CVSS : 9.1) - Authentification incorrecte dans le plugin SSO Microsoft pour Jira & Confluence. * CVE-2026-33117 (score CVSS : 9.1) - Authentification inappropriée dans Azure SDK. * CVE-2026-42833 (score CVSS : 9.1) - Exécution avec des privilèges inutiles dans Microsoft Dynamics 365 (sur site). * CVE-2026-33844 (score CVSS : 9.0) - Validation d'entrée inappropriée dans Azure Managed Instance pour Apache Cassandra. * CVE-2026-40361 (score CVSS : 8.4) - Utilisation après libération dans Microsoft Office Word. * CVE-2026-40364 (score CVSS : 8.4) - Confusion de type dans Microsoft Office Word. Adam Barnett de Rapid7 a mis en évidence CVE-2026-41103, notant son potentiel d'usurpation d'identité d'utilisateur non autorisée et de contournement d'Entra ID. Jack Bicer d'Action1 a décrit CVE-2026-42898 comme critique, permettant aux attaquants authentifiés avec des privilèges faibles d'exécuter du code arbitraire via Dynamics CRM. Il a souligné le risque sérieux pour les entreprises en raison du compromis potentiel des enregistrements clients, des flux de travail et des systèmes commerciaux intégrés. ### Rappel de mise à jour des certificats Secure Boot Il est rappelé aux organisations de mettre à jour les certificats Secure Boot de Windows vers les versions 2023 avant l'expiration des certificats 2011 le mois prochain. Ce changement a été initialement annoncé en novembre 2025. Rain Baker de Nightwing a souligné la criticité de cette mise à jour, avertissant de « défaillances de sécurité catastrophiques au niveau du démarrage » pour les appareils non mis à jour avant la date limite du 26 juin 2026. ### Plus de 500 CVE en 2026 à ce jour Selon Satnam Narang de Tenable, Microsoft a déjà corrigé plus de 500 CVE au cours des cinq premiers mois de 2026, soulignant la complexité et le volume croissants des vulnérabilités dans les logiciels modernes.